Publicado el

2018 un año de incidentes en Latinoamérica

«Es urgente contar con aliados estratégicos expertos y con capacidad de apoyarnos en la prevención, detección y control de los incidentes.»

El 2018 fue un año en el que la Ciberseguridad tomó gran importancia, debido a varios factores, como la puesta en marcha de normas para la protección de los datos personales en la Comunidad Europea, el uso inapropiado de redes sociales en campañas políticas, incremento de vulnerabilidades en dispositivos móviles, ataques dirigidos a países y la exposición en medios de muchos de los incidentes, esto sin duda está generando una conciencia colectiva sobre la importancia de proteger nuestra información.

Latinoamérica no es ajena a esta problemática, como se evidencia en el informe de estado de la ciberseguridad en el sector financiero, que publicó a principio de año la OEA, demostrando que el 92% de las entidades han sido víctimas de ataques cibernéticos. Sin lugar a dudas, los incidentes de México y Chile fueron los más sonados, por su impacto económico y su avanzadas características técnicas, como el malware detectado en operaciones contra sitios web de la banca chilena, que saltaba las protecciones de smartscreen que se usan.

Pero este no es el único tipo de ataque orientado a la región, que según estudios presentados en la conferencia de CyberCrimeCon, en la región de Latinoamérica se incrementó en un 60% el número de incidentes, logrando una medía de 9 detecciones por segundo, usando el ransomware y el cryptojacking como las principales herramientas de ataque, debido principalmente  la lenta implementación de las empresas en controles efectivos a las nuevas amenazas, convirtiéndolas en un blanco fácil para el crimen organizado.

En un estudio de Ransomware que realizo ESET en Latinoamérica, se puede ver que Colombia tiene el 30% de las detecciones de este tipo de malware en la región, debido a un evento puntual que inicio en agosto y que prácticamente iba dirigido contra ese país, situándolo en el séptimo puesto mundial de los países afectados por Ransomware.

Y fue un ransomware llamado Crysis o Crytowall, que en agosto inicio el ataque contra Latinoamérica, pero principalmente Colombia, usando técnicas de phishing e ingeniería social, lograban engañar a sus víctimas con un correo electrónico que indicaba una deuda con alguna entidad privada o estatal con un documento adjunto que contenía los detalles de la deuda. Y con este engaño Colombia pasó a ser el país más afectado por ransomware en agosto, disminuyendo paulatinamente en el resto del año.

Sin embargo, en la no deseada lista le siguen México y Perú, donde también fueron afectados por campañas puntuales, pero más diversas. En el caso de Perú son dos versiones diferentes de malware con los que han sido atacadas las empresas del país, pero con un agravante pues adicional a ser Ransomware tienen características de un malware denominado RAT, que permite control remoto a los atacantes sobre las maquinas infectadas.

En México es muy variado el espectro de malware usado para los incidentes, detectando los usados en Colombia y Perú se le suma GandCab, el cual es un peligroso Ransomware que tiene la particularidad de mutar según las necesidades del atacante y de las características de la víctima en un Cryptojacking que aproveche el hardware afectado para minar ilegalmente criptomonedas. Con lo cual se vieron afectadas varias instituciones en el país, generando perdidas no solo de datos sino economicas al no poder facturar sus labores por periodos prolongados de tiempo.

En el mundo móvil

Las organizaciones criminales usan las tendencias de tecnología para así mismo migrar sus atacas a estas plataformas, por lo que en los últimos 10 años se han enfocado en usar las tiendas de aplicaciones de iOS y de Android para desplegar malware y robar información. Por supuesto el 2018 no fue la excepción, pero con unas características diferentes, pues se han detectado menos muestras de malware pero más peligrosas. Como se ve en las imágenes a continuación del informe de ciberseguridad del segundo semestre generado por ElevenPaths

Donde para Android el 18% de las detecciones generan una calificación de riesgo igual o superior a 7 sobre 10 y en iOS el 56% tiene una calificación de riesgo igual o superior a 7 sobre 10. Detectando que cerca de la tercera parte de las aplicaciones con malware que se cargan en Google Play están disponibles por un plazo entre 22 y 42 días.

Esto supone un riesgo crítico para las empresas, teniendo en cuenta que la mayoría de los empleados usan sus dispositivos móviles para desarrollar procesos laborales sin ningún tipo de protección ni control por parte de las empresas.

Nuestros datos personales

Por último, este 2018 fue el año donde las fugas de información y el uso de datos personales sin autorización generó la mayor cantidad de noticias, siendo Facebook el centro de la mayoría de estas notas, pero desafortunadamente no es el único que tuvo estos incidentes, pues Google, Twitter, Equifax, Marriot, entre otros, expusieron la información de sus clientes y con ella su reputación.

El año pasado propició que estás empresas y las de su sector tomaran medidas de seguridad contundentes, como en el caso de Facebook, que cambió toda su política de seguridad en TLS, lo que supone una inversión considerable de desarrollo e implementación, aunque de cara al usuario no genera impacto ni entrega una sensación de mejoría en su privacidad, esta medida permite controlar mejor la seguridad de las conexiones y del cifrado de los datos en curso.

Google tomó una medida que se podría calificar como más drástica, al anunciar el cierre definitivo de Google+, su red social, debido a la exposición de la información de más de 500 millones de sus usuarios, en incidentes presentados en Octubre y en Diciembre.

Estos incidentes cada vez más comunes tienen unos costos económicos y reputacionales muy altos para  las empresas afectadas, según un informe de IBM en promedio a una empresa le cuesta US$148 cada dato filtrado, por lo que incidentes como los antes mencionados tienen unas repercusiones multimillonarias para las empresas y ahora con normas como el GDPR estos incidentes deben ser reportados en menos de 72 horas a cada uno de los usuarios afectados.

¿Qué podemos hacer?

Es evidente que las amenazas del mundo de la ciberseguridad crecen a un ritmo alarmante y que las medidas de control no se implementan con la velocidad y capacidad suficiente para contener de manera eficiente los riesgos. Por lo que, los expertos recomiendan que se tome un papel activo en las medidas de control, que no se espere que el incidente ocurra, sino que se tengan mecanismos para prevenirlos, detectarlos y controlarlos en el menor tiempo posible. Para que esto sea efectivo no pueden seguir actuando como “el llanero solitario en el salvaje oeste”, es obligatorio y necesario, tener aliados estratégicos expertos y con capacidad de apoyar a las empresas y organizaciones en la prevención, detección y control de los incidentes, solo así podrán combatir de manera efectiva las principales amenazas en ciberseguridad.

Escrito por:

Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths Cybersecurity Unit Telefónica
@dsespitia

Imagen Principal: Pixabay

Publicado el

La transformación digital y la ciberseguridad de tus datos médicos

Con la transformación digital a nadie nos sorprende que cuando visitas a un médico o un hospital, muchos datos sobre la historia clínica, facturación, medicamentos,imágenes radiológicas, entre otros; son almacenados en una computadora centralizada –servidor– que permite desde la toma de decisiones para una enfermera suministrar medicamentos hasta que revises toda tu información clínica desde cualquier parte de Internet.

La movilidad y la tecnología avanzan de manera acelerada y juegan un papel fundamental en nuestra sociedad. Como usuarios seguimos utilizando, almacenando y gestionando información de todo tipo en nuestros dispositivos, desde entretenimiento y ocio hasta llegar a datos financieros y ahora de la salud. Además, nosotros como pacientes dependemos de dispositivos (equipo de tomografía) y programas (por ejemplo aplicativos que gestionan y almacenan datos de equipamiento hospitalario) cuando estamos en estas instalaciones, que ya de por si, infringen en un riesgo por mal funcionamiento o similares.

¿Y qué hay de los riesgos de seguridad informática en esta industria? En base a la importancia que en la actualidad este tipo de instalaciones, catalogadas en el mundo de la ciberseguridad como infraestructuras críticas, las amenazas y los atacantes están constantemente intentando irrumpir sus controles de seguridad para poder robar datos de pacientes, extraer investigación de laboratorios o ¨secretos¨, secuestrar equipos (casos de ransomware) y entre otras actividades maliciosas.

En Elevenpaths hemos estado investigando en varios ámbitos donde se han encontrado fallos de fabricantes, principalmente en software médico para gestionar imágenes radiológicas o registros médicos (EHR/EMR). A su vez hemos identificados en base a experiencias, conversaciones y compartir con la comunidad que estos sistemas muchos de ellos están descentralizados en las instalaciones de salud de los países, gestionan diferentes tipos de implementaciones, mantienen bajos estándares de seguridad y sumado a todo esto el incremento de este tipo de servicios en la nube y dispositivos médicos conectados (IoT) a sus redes para convergencia sus servicios.

Al igual que muchos, vemos con preocupación que para este tipo de industria tan relevante en la vida de las personas continúe implementándose más tecnología sin los controles necesarios o al menos mínimos de seguridad, ya que, a diferencia de otros sectores, en el hospitalario se pone en riesgos aspectos más críticos que perdidas monetarias a través de un posible ataque informático.

La comunidad establece muchos esfuerzos en explorar estas nuevas implementaciones y buscar fallos de seguridad que sirvan como retroalimentación para las empresas propietarias de los dispositivos o aplicaciones para seguir despertando la conciencia en el sector y que brinden las soluciones integrales necesarias para que los usuarios sientan mayor seguridad de sus datos, o porque no, de su vida.

Carlos Avila

Chief Security Ambassador

[email protected]

@badboy_nt

Imágenes: Pixabay

Publicado el

¿Puede estar una crisis financiera a un solo clic?

Sin duda las entidades financieras han sido históricamente pilares del sector económico más buscado por los delincuentes, debido a que un incidente les puede dar acceso a manejar grandes cantidades de dinero y puede generar un gran impacto social o reputacional, permitiendo al atacante obtener sus principales motivadores en un solo ataque.

A estas características descritas anteriormente se suma que el sector financiero es de las industrias donde la transformación digital ha llegado con mayor fuerza y rapidez. Existen bancos en todo el mundo que ofrecen facilidades de operaciones financieras a través de sitios web, pagos automáticos, aplicaciones móviles o mensajes de texto, entre otras. Entregando así, a los delincuentes una variedad de fuentes para perfeccionar los ataques hacia los usuarios del sistema o directamente hacia las entidades.

Esta combinación de factores ha aumentado la calificación del riesgo de los incidentes cibernéticos considerablemente, llevando esto a las mesas directivas de todas las entidades y a que los organismos de control de los países exijan a sus entidades financieras el cumplimiento de varios requisitos de control para la mitigación de esta amenaza. Esto debido no únicamente a la inminente amenaza, sino a la dependencia tecnológica del sector, aumentando la posibilidad de generar una crisis financiera con un clic.

Según estudios de las entidades de control de los sistemas financieros, los incidentes cibernéticos han generado costos por cerca de un billón de dólares, posicionando este riesgo como el de mayor costo para el sector financiero, por encima de los desastres naturales o del terrorismo.

Uno de los grupos criminales que en los últimos años ha sobresalido por el perfeccionamiento en los ataques a la banca es “Lazarus”, quienes están ubicados en Corea del Norte, según datos e información de inteligencia de agencias como el FBI. Este grupo ciberdelincuente se ha distinguido por métodos muy avanzados técnicamente y por generar un alto impacto mediático en sus operaciones, donde sobresalen el robo de las películas de Sony en 2014, el robo de 81 millones de dólares al banco de Bangladesh en 2016 y los ataques a las olimpiadas de 2016.

Desde 2016 el US-CERT (Equipo de respuesta de emergencias computacionales) alertó sobre ataques de Lazarus a las redes de cajeros electrónicos en todo el mundo, mediante una característica común en estas redes: el uso de Windows XP que permitía acceder a la red interna, buscando redes ocultas.

Y desde finales de 2017 este tipo de incidentes llegó a Latinoamérica, impactando principalmente al Banco Nacional de Comercio Exterior (Bancomext) de México en enero y al Banco de Chile en mayo. Ambas entidades aceptaron pérdidas de 25 millones de dólares; pero no fueron las únicas entidades afectadas en cada uno de los países, por lo que se cree que el impacto fue mucho mayor.

Los ataques tiene en común el grupo que lo realizó y el método usado en ambos incidentes; evidenciando problemas de seguridad no sólo a nivel técnico sino de respuesta de incidentes en las entidades de la región. En ambos casos los equipos de seguridad de las entidades fueron víctimas de un ataque inicial que sólo tenía como objeto distraer del real ataque a las finanzas de las entidades. En el caso de Bancomext se desplegó un malware que afectó el funcionamiento de los equipos administrativos, mientras que en el caso de Banco de Chile fue un ataque a los equipos de las sucursales que obligó a apagar miles de terminales.

Lo anterior se evidenció en el informe de la organización de estados americanos (OEA), que indica que el 92% de las entidades de la región han sido víctimas de un incidente cibernético, donde cerca del 37% de estos ataques afectaron las finanzas de la organización, resaltando que las entidades ya tienen este riesgo como uno de los más altos y que se realizarán las inversiones necesarias para mitigarlo en un corto plazo.

Estas cifras y los estudios realizados evidencian las debilidades de uno de los sectores económicos más críticos para los países, revelando un riesgo inminente de crisis social y económica que puede ser generada por el no aseguramiento de los procesos de transformación digital y que aunque se está tomando conciencia de esto, las medidas de control y mitigación no se toman de forma ágil y han dado pie para que grupos criminales aprovechen, saquen provecho económico y generen desconfianza en el sistema financiero.

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador

ElevenPaths – Telefonica Cybersecurity Unit

Publicado el

Ciber-resiliencia: “Game Is Never Over”

“La resiliencia es la capacidad de un sistema, empresa o persona para mantener su propósito principal e integridad ante circunstancias radicalmente cambiantes.” ―Andrew Zolli y Ann Marie Healy

Generar planes estratégicos que propongan enfrentar ciber-riesgos con un enfoque de inversión de negocios y no un gasto, es parte del cambio de paradigma que deben propiciar los altos directivos y gerentes generales de las empresas que buscan transformarse digitalmente. Esta decisión deben tomarla de manera oportuna, porque los ataques de seguridad son sorpresivos e inesperados.

Al igual que sucede con otros temas inherentes a la organización, gestionar el riesgo supone invertir y estar conscientes de que las amenazas, las probabilidades y las ocurrencias se deben cuidar diariamente debido al valor de los datos y la fragilidad que representa la naturaleza humana en materia de protección informática y vulnerabilidad.  Afirmamos lo anterior, porque la realidad es que, en la mayoría de las organizaciones la seguridad se le atribuye al área de tecnología y por estar involucrados en el día a día, son muchos los empleados que descuidan cumplir con las acciones individuales para mitigar esas posibles fallas en los sistemas de seguridad.

Por lo general y más allá del conocimiento que puedan tener los directivos de las organizaciones sobre los procesos, las necesidades y los riesgos, se les sugiere apoyar decisivamente la adopción de un enfoque de Ciber-resiliencia, cuya mayor virtud es contar con la capacidad de conocer qué tecnologías se deben implementar en un mediano o largo plazo.  Cuando los empresarios logran comprender la importancia de los equipos especializados ―personas y soluciones de tecnología―para la prevención de ciberataques se implementan planes estratégicos coherentes con la realidad.

En Ingeniería se llama resiliencia a la unidad que mide la capacidad que tienen los materiales de recuperar su antigua forma después de haber sido deformados por una presión externa. Trasladando esta situación a la seguridad implicaría que la organización sea capaz de resistir, de afrontar, corregir y seguir funcionando tras haber sido objeto de un ciber-ataque. Lograrlo no es sencillo, permanecer anuentes y con un plan se antoja como la mejor manera de estar medianamente preparados, porque nunca se está en un 100% listo para lo imprevisto.

Se dice que una organización tiene resiliencia cuando posee la capacidad de resistir a la incertidumbre, a las crisis, a los cambios y a situaciones conflictivas. Esa entidad es capaz de aprender de las experiencias aprovechándolas como parte del camino hacia el progreso y la mejora, no solo como mecanismo de supervivencia ante las pruebas.

Resilio, resilire ¿Rebotan las empresas?

La palabra resiliencia deriva del latín «resilire» que significa ‘rebotar’. La resiliencia organizacional es la adaptación del término resiliencia al enfoque gerencial – administrativo de la organización, unión de términos que crean un concepto relativamente nuevo pero muy necesario.  Es la cualidad intrínseca, una característica innata, propia forma parte de la naturaleza de dicho organismo y está implícita en su estructura.

Cuando una entidad se hace llamar resiliente debe ser capaz de reaccionar y salir airosa ante una serie de sucesos y externamente continuar operando como si nada hubiera ocurrido, lo que es sumamente difícil. Son estas las empresas capaces de rebotar sin romperse ante la adversidad y es el modelo que toda empresa debería considerar para afrontar los riesgos.

Ciber-resiliencia

A partir de la definición de resiliencia que ya hemos explorado y enmarcando las posibles fuentes de crisis a eventos tecnológicos y procedentes del ciberespacio, se habla de Ciber-resiliencia. Otros limitan esta definición a las afectaciones en sus sistemas de proceso de datos y sus comunicaciones.

Del documento sobre Ciber-resiliencia de IEEE nos llama poderosamente la atención la manera de abordar el tema, cuando propone que: «Dada la complejidad de las organizaciones, y la interdependencia entre los distintos elementos que las forman: personal, entorno social, suministros, infraestructura TIC, procesos, …; no se puede trazar una línea divisoria clara entre lo que supone la resiliencia de la misma y la ciber-resiliencia de sus sistemas. Una y otra están íntimamente relacionadas, es más, son un mismo concepto. No se puede crear una infraestructura tecnológica ciber-resiliente si la organización en sí no es resiliente. La organización es un todo, y el departamento TIC no es un ente independiente que puede sobrevivir o pretender ser inmune a los eventos que pueden sacudir a su personal y sus usuarios.»

Desde el punto de vista del riesgo, el análisis de una organización se basa en identificar vulnerabilidades una por una y fijar una acción para cada una de ellas. Somos parte de las organizaciones que se preocupan por minimizar el riesgo y proveer soluciones para mitigarlo en pro de la Ciber-resiliencia. Telefónica se ha consolidado como un MSSP (Managed Security Services Provider, proveedor de servicios de seguridad gestionados), trabajando en tres propuestas:

  • Visión 360°de riesgos en ciberseguridad
  • La automatización de la ciberseguridad
  • Ciberinteligencia

ElevenPaths, la Unidad Global de Ciberseguridad de Telefónica crea soluciones a la medida y trabaja a diario con el compromiso de hacer frente al riesgo en el ciberespacio.  Entre sus propuestas de formación y actualización se encuentra el Security Innovation Day, que se llevó a cabo en España el pasado 7 de noviembre. En esta oportunidad, colocó en la mira del mundo la Ciber-resiliencia como su foco principal y en torno a ello, se presentó ante los asistentes, toda la actividad desarrollada en los centros de innovación de la compañía y los servicios que se ofrecen. Destacando Stela FileTrack, descrita como una especie de metaconsola de toda la información y documentación sensible de una empresa, con el fin de poder hacer su seguimiento y tener la trazabilidad. Permite a las organizaciones una visibilidad online del ciclo de vida completo de cada documento con monitorización, geolocalización, etiquetado y aplicación de políticas basadas en el grado de confidencialidad de los documentos. Este producto es la solución para la protección de la información documental sensible de las organizaciones que añade una capa de trazabilidad, permitiendo en todo momento una visibilidad online del ciclo de vida completo de cada documento.

Junto a Stela FileTrack se presentaron:

  • RightsKeeper, permite gestionar los documentos que se comparten, limitando o eliminando permisos de edición y acceso a los mismos, incluso, una vez distribuidos. Se muestra la relación de nuestra herramienta Shadow y cómo se puede proteger un documento de manera imperceptible unido al IRM de ElevenPaths.
  • SmartPattern y CapaciCard, las nuevas tecnologías del equipo de Innovación y Laboratorio de ElevenPaths. SmartPattern es un nuevo concepto de autenticación que permite autorizar la entrada a servicios y firmar documentos a través de un patrón inteligente de movimiento realizado en un smartphone. Capacicard permite autenticar o autorizar a un usuario aprovechando las características capacitivas inherentes a una pantalla de móvil o touchpad de un portátil. No necesita NFC ni conexión alguna, solo una económica tarjeta y sin hardware adicional.
  • Connected Car, aplicación de tres servicios de IoT (provisión de credenciales, detección de anomalías y DNS seguro) sobre el entorno del coche conectado.

Valorar el impacto del riesgo es importantísimo, las amenazas no contempladas acechan, gestionar el riesgo en tiempo real se hace perentorio. La ciber-inteligencia es una apuesta clave para Telefónica, en esta línea con la adquisición de DinoFlux y con la creación de ALDARA se avanza en el camino correcto para ofrecer las mejores opciones para que su organización sea ciber-resiliente.

Al revisar documentos como el Informe de investigación del Ponemon Institute© (Organización que realiza investigaciones independientes sobre privacidad, protección de datos y política de seguridad de la información con el  objetivo de permitir que las organizaciones tanto del sector público como privado tengan una comprensión más clara de las tendencias en las prácticas, percepciones y amenazas potenciales.), sobre el valor de la ciber-resiliencia que se realizó contemplando en la muestra a Estados Unidos, Reino Unido, Francia, Alemania, Australia, Emiratos Árabes Unidos y Brasil, encontramos enseñanzas y pasos claros para mejorar esta área en las organizaciones:

  • Incrementar el personal dedicado a la seguridad de TI. El promedio de equivalente a tiempo completo (ETC) es de 39 empleados y los encuestados creen que debería ser de 55 para alcanzar un nivel superior de ciber-resiliencia.
  • Extender la influencia y la implicación de los CSIRP a toda la empresa.
  • Invertir en tecnologías como la automatización, machine learning, inteligencia artificial y orquestación, que ayudan a abordar el mayor volumen y gravedad de los ciberataques, así como la dificultad que entraña la contratación de profesionales de seguridad de TI especializados.
  • Incrementar la financiación destinada a actividades de ciber-resiliencia para poder contratar y retener a profesionales cualificados e invertir en tecnologías.
  • Tomar medidas para reducir el tiempo de detección, contención y respuesta a los ciberataques

Recuerde que la unidad de Ciberseguridad de Telefónica está a su entera disposición para ofrecerle todo lo que en materia de gestión del riesgo y ciber-resiliencia requiere su organización.  No lo olvide: “Game Is Never Over”.

 

Imagen: Pixabay

Fuentes de Consulta:

https://iot.telefonica.com/press/stela-filetrack-protagonista-de-la-vi-edicion-del-sid-2018

https://factorhuma.org/attachments_secure/article/8264/resiliencia_cast.pdf

http://www.ieee.es/Galerias/fichero/docs_opinion/2015/DIEEEO35-2015_Ciber-resiliencia_LuisdeSalvador.pdf

https://blogthinkbig.com/security-innovation-day-2018-claves

 

 

 

Publicado el

¿Conoce el país dónde la brecha digital es cosa del pasado?

Existe un lugar en el mundo donde la brecha digital está superada. El 88% de sus habitantes navega en Internet a diario y el 87% de la población entre los 16 y los 74 años se conecta al portal gubernamental.

Allá no hay diferencias marcadas en cuanto al acceso a la red y su uso entre millennials, centennials, generación X y baby boomers (a quienes se les brinda todo el apoyo en bibliotecas públicas para que puedan acceder a los servicios públicos digitalizados si carecen del equipo o conocimiento requerido). Posee el récord mundial de nuevas empresas por persona, nada desdeñable al tomar en cuenta que el país es pequeño, con tan sólo 1,3 millones de habitantes. Su capital se menciona entre las ciudades que promueven y propician la incubación de startups tecnológicas a la par de Berlín, Londres e incluso de Silicon Valley.

Esta nación tiene wifi en todas las instalaciones escolares públicas, enseñan ciberseguridad, robótica y programación. Los planteles públicos tienen laboratorios de drones, utilizan impresoras 3D y se enfocan en la búsqueda de financiación para las clases de realidad virtual y aumentada como objetivo a corto plazo. El gobierno introdujo la formación en informática y nuevas tecnologías en los centros educativos, comenzando en la primaria, para preparar mejor a sus futuros profesionales para hacerle frente a la economía digital. Desde 1996, el Ministerio de Educación lanzó la Fundación Tiger Leap para equipar a todas las escuelas del país con computadoras y darles conexión a Internet, misión que se cumplió pocos años después.

El sistema no hace hincapié en las habilidades digitales, no es prioridad, simplemente ya forman parte de su vida diaria y sus gobernantes son tajantes al decir que lo digital no es lo más importante, para ellos en temas de educación los pilares son las artes, el deporte y la tecnología, en ese orden.

En este lugar el fútbol destaca dentro de los intereses de su población y de los promotores de su marca país, tanto así que albergará este 15 de agosto del 2018 en su versión 43ª la final de la Supercopa de la UEFA (UEFA Super Cup 2018) en Tallin, su capital.  Y para aquellos que se maravillaron con el acceso gratuito a turistas con Fan ID durante el pasado mundial, nos indican que en su capital todos los turistas disfrutan de una realidad aún impensable en nuestros países centroamericanos: hay conexión inalámbrica a Internet gratuita, desde hace una década.

En su capital en el 2003 nació Skype, la compañía que revolucionó las llamadas gratuitas por Internet y que en 2011 Microsoft compró por 8.500 millones de dólares.  Sus fundadores fueron el sueco Niklas Zennström y el danés Janus Friis, pero el soft­ware lo desarrollaron ingenieros locales y la compañía todavía mantiene en Tallin una de sus principales oficinas.

Skype© forma parte del orgullo nacional, su creación y adquisición por parte de la multinacional propició el apalancamiento necesario para el cambio de mentalidad; muchos jóvenes y profesionales se decantaron por el estudio de carreras tecnológicas, técnicas y se atrevieron a emprender en el mundo digital.

Este país que para los amantes de tecnología parece ser el más idílico, está mostrando al mundo que es posible hacer la transformación digital de forma ordenada y desde la estructura gubernamental. Su nombre es República de Estonia (en estonio: Eesti Vabariik), localizada al norte de Europa, tiene 45 228 km2 y es de los países menos poblados de la Unión Europea,

Si todo lo anterior no fue suficiente para hacernos recordar su nombre, he aquí otra razón de peso, Estonia se ha convertido en una referencia en materia de ciberseguridad luego de un ataque cibernético que atentó contra sus estructuras digitales de gobierno. En 2008 se inauguró en Tallin el Centro de Excelencia de Cooperación en Ciberdefensa de la OTAN, y está creando todas las condiciones para ser el primer país del mundo con una embajada digital en Luxemburgo. Así fuera de sus fronteras tendrán un resguardo de todo el entorno gubernamental que en caso de otros ataques mantendría operativos sus sistemas y procesos digitales.

¿Cómo lograron su transformación?

Bajo la premisa de que la innovación no puede ser patrimonio exclusivo del sector privado y que los gobiernos no pueden quedarse atrás, pusieron fin a las excusas y a las limitaciones. Se dieron cuenta que no era una cuestión de dinero, tampoco de extensión territorial, tamaño o población, lo que necesitaban era unidad y voluntad política.

Los historiadores y periodistas narran que después de la independencia en 1991 tuvieron que construir una nueva administración a bajo costo. «Dijimos que también podríamos usar la tecnología de la información», explica Siim Sikkut, asesor nacional de políticas de TIC.  Actualmente el país cuenta con lo que podría llamarse la burocracia más digitalizada del mundo, a tal punto que el gabinete del gobierno se despidió del uso de papeles en sus operaciones hace años. Todo esto no solo creó una población conocedora de Internet, sino un grupo de desarrolladores de software con experiencia, profesores y talento que estaba dispuesto a contribuir con la creación de un nuevo modelo de país.

Sin dudas existe un nuevo destino que incluir en las listas de países por visitar para los amantes de la tecnología y las telecomunicaciones. O tal vez su próximo empleo se encuentre en su portal de trabajo desde donde reclutan ingenieros, informáticos y más. En materia de emprendimiento hay ventajas, ya que propician la ciudadanía remota o digital para la creación de empresas digitales.

La mejor época para visitar la nación para los que no estamos acostumbrados al frío extremo y a las pocas horas de iluminación, es de mediados de junio a la última semana de agosto, período que dura el verano estonio. Tienen alrededor de 250 museos que ofrecen una experiencia inspiradora mostrando de todo, desde la historia local hasta artistas internacionales. Sus costas ofrecen cerca de 2,200 islas y muchos lugares turísticos por conocer. Es catalogado un destino europeo de los más económicos para hacer turismo.

El ejemplo de este pequeño país nos muestra que existen posibilidades para las naciones que adopten prontamente el cambio de mentalidad que conlleva la transformación digital. Ellos lo lograron y continúan posicionándose entre los líderes mundiales en tecnología.

Publicado el

Cross check y reportar ¿Estamos listos para despegar?

Mucho se comenta en las redes sociales sobre cómo prevenir un ciberataque. ¿Qué servicios contratar? ¿Cómo cuidar y resguardar la información? pasan a ser moneda corriente en cada charla de ciberseguridad que escuchamos al acudir a eventos de actualización tecnológica. Lo mismo sucede en los buscadores, al colocar la palabra ciberseguridad en los mismos, todos los artículos que nos sugieren están ligados a la prevención de ciberataques.

Hace días he estado meditando en el tema, lo que me ha llevado a hacer una  analogía de la ciberseguridad con una enfermedad. En el ámbito médico siempre se considera la prevención como algo clave e importante. Ahora bien, una vez que la prevención no funcionó de la manera esperada o, simplemente no se tuvieron en cuenta las medidas de prevención necesarias, cómo debemos actuar pasa a ser lo más crítico. Tal cual sucede con las enfermedades, tan pronto se declara una emergencia  en materia de ciberseguridad hay que actuar con prontitud, utilizando los protocolos y herramientas con las que se cuentan para afrontar el suceso.

En cuestión de segundos toda la información de su empresa, así como su información personal pueden quedar expuestas y en manos de terceros con fines no ciertamente benéficos, entonces el protocolo de cómo actuar ante un ciberataque debe estar claro y ser conocido por todos en la organización. Conocerlo implica actuar con rapidez, tomar las acciones precisas de inmediato y que todos los miembros del equipo tengan claro el rol que deben ejercer ante el problema.

Me imagino el escenario y me permito hacer la comparación con la despresurización de la cabina de un avión. Cuando surge una emergencia área, no hay quien dude en la tripulación de la aeronave en cuanto a qué debe hacerse. Cada cual sabe qué hacer, quién debe apretar el botón para que las mascarillas de oxígeno caigan desde el techo del avión a cada asiento lo hace, quién debe anunciar el problema por el altavoz para que todos los pasajeros sepan qué está pasando lo hace y no titubea, y quién debe anunciar lo acontecido a la torre de control del aeropuerto no pide permiso para hacerlo, pues cada uno conoce perfectamente su responsabilidad y actúa acorde a ella.

Así debería funcionar el protocolo de respuesta ante un ciberataque en las organizaciones. Qué hacer, quién debe hacerlo y cómo, deben estar documentados en la cartilla del asiento delantero antes de que sea anunciado el famoso “cross check y reportar”.

A esta altura usted se estará preguntando “¿Tenemos un protocolo formalizado en la empresa, cada persona sabe qué hacer y cómo hacerlo?”.

Hacer simulacros de incendio es común en estos tiempos en los edificios que albergan las oficinas de las empresas, colegios, entes públicos y comercios. La probabilidad de ocurrencia de un incendio se toma en serio. ¿Qué hay de la ocurrencia de un ciberataque? ¿Por qué aun nadie hace un protocolo de actuación ante un ciberataque? ¿Realmente creen que estamos siendo más vulnerables a un incendio hoy en día que a un ciberataque?

Luego de exponer la situación que acecha silenciosa a toda empresa, me permito compartirles algunos “tips” para planificar su ruta de escape ante una eventualidad como lo es la fuga de información:

  • Designe un líder y responsable de la “ruta de evacuación”. ¿Cuándo y cómo es momento de poner la infraestructura de respuesta en marcha? ¿Apagamos las máquinas? ¿Las encendemos? ¿Usamos el correo o está prohibido? Alguien debe ser el responsable de dar instrucciones en la organización y ese alguien debe ser la voz autorizada. Es importantísimo que esta persona sea anunciada y su rol sea conocido con anterioridad, por todos en la organización
  • Poner en marcha al equipo de trabajo. Este equipo de trabajo multidisciplinario debe conformarse en toda organización para que actúe cuando estos hechos infortunitos ocurran. El equipo debe estar conformado no solo por especialistas en IT, Ciberseguridad y Microinformática sino también por profesionales en Comunicación y Relaciones Públicas que actuarán en tiempo y forma según evalúen y consideren. Muchas veces la información de un ciberataque no se filtra fuera de la organización mientras que otras veces sí se hace. Esto debe evaluarse por los profesionales del equipo en cada caso. Para ello es conveniente que sean asesorados en cuanto a la cultura de comunicación que tiene la empresa y los medios idóneos para comunicar este tipo de acontecimientos deben ser seleccionados con anterioridad para que, en caso de decidirse comunicar algo, el protocolo simplemente se ponga en marcha y cada uno sepa cómo y qué hacer.
  • Tomar las garantías necesarias para que no vuelva a suceder. Una vez que se presenta una situación semejante se debe asegurar que no se repita. Es imperante documentar qué pasó, qué fue afectado y asesorarse en qué deberíamos haber tenido controles para evitarlo. Una vez se clarifica este panorama se debe invertir en las garantías necesarias para que la situación no vuelva a pasar.

Al igual que sucede con una vacuna que se administra para prevenir una enfermedad especifica no quedamos exentos de contraer otra y acabar enfermos, la ciberseguridad funciona de manera similar, estar vacunados contra una enfermedad por lo menos nos garantiza que no seremos afectados por la misma.

Frente a ataques cibernéticos prevenir es dar un paso al frente y minimizar las probabilidades de ser atacados. No espere contraer la enfermedad para vacunarse… ya no hará el efecto esperado.

 

 

 

 

María Carolina Bussi

Gerente de Mercadeo  Empresas y Negocios

Telefónica Business Solutions Centroamérica

 

Publicado el

WiFi en sitios públicos ¿Cuán segura es la red gratuita a la que nos conectamos?

Al salir de casa o de la oficina la posibilidad de acceder a una red Wifi sin costo es una oferta tentadora porque no consumimos el plan de datos y seguimos conectados. Lo que menos consideramos al conectar el dispositivo móvil es la seguridad.

Durante la competencia deportiva que atrae a gran parte de las personas en el mundo, el beneficio de conectarse en cualquier lugar para disfrutar un partido es realmente atractivo. Los sitios destino lo saben e incluyen en sus ofertas la conexión gratuita durante los partidos. Y que decir de la propuesta de Rusia al permitir a los aficionados en los estadios conectarse a Wifi gratuito para que puedan compartir sus instantáneas e impresiones de lo que acontece durante su permanencia en el recinto deportivo. Conectar un dispositivo móvil es una demanda de los usuarios que se toma muy en cuenta en las estrategias de mercadeo y servicio al cliente.

La tecnología de redes inalámbricas es cada día la forma más usual con la que nos conectamos a Internet, lo que ha generado que centros comerciales, cafés, hoteles, restaurantes y empresas brinden dentro de sus servicios usuales una conexión de este tipo para atraer clientes o satisfacer a sus empleados. Sin embargo, ¿Cuántas de estas redes brindan un servicio seguro o garantizan que la información de sus usuarios está protegida?

Para muchas empresas la gestión de la seguridad de la red inalámbrica no es más sino colocar un portal donde sus clientes entreguen datos de usuarios y contraseñas, pero la seguridad de la comunicación es mucho más que solo controlar el acceso a la red, es necesario usar un cifrado que permita que las comunicaciones no puedan ser interceptadas en el aire.

La Alianza WiFi ha ido creando desde 1997 estándares orientados para que las comunicaciones inalámbricas siempre sean cifradas, siendo el primer protocolo el WEP (Wired Equivalent Privacy), el cual dejó de considerarse seguro en el 2001, aunque actualmente es posible encontrar cientos de redes que usan este mecanismo obsoleto.

Debido a la fragilidad de WEP, la alianza desarrolla el protocolo de seguridad WPA (WiFi Protected Access) en 2003. Sin embargo, errores de seguridad hicieron que saliera una segunda versión en 2004, llamada WPA2, la cual es la más usada en las redes actualmente.

Pero tras 13 años sin modificaciones y entregando garantía en la seguridad de las redes inalámbricas, unos investigadores encontraron una vulnerabilidad crítica que expone la seguridad de todas las comunicaciones inalámbricas. Desde noviembre de 2017, la alianza anunció que se trabajaba en la versión 3 de este protocolo para restablecer la seguridad y confianza en las redes inalámbricas.

Tras 8 meses de espera, se ha lanzado oficialmente la versión 3 del protocolo de cifrado de comunicaciones inalámbricas WPA3, que trae varias modificaciones para que las empresas puedan gestionar de mejor forma la seguridad con la que sus clientes se conectan a la red. Actualizando el protocolo no solo para las redes de hogar sino enfocando esfuerzos en seguridad de redes empresariales y redes para Internet de las Cosas, dentro de las que destacan las siguientes:

  • Seguridad en redes públicas abiertas: Esta característica es muy importante para las empresas que brindan servicio de conexión a Internet a sus clientes, como son restaurantes, centros comerciales, hoteles y demás, porque la seguridad de la conexión a sido mejorada con cifrado individualizado en el tráfico entre cada dispositivo y el punto de acceso a la red inalámbrica.
  • Secreto Asegurado: Debido a que uno de los ataques que vulnero la seguridad de WPA2 fue la posibilidad de descifrar tráfico capturado posteriormente, en esta versión del protocolo se implementó una capa de seguridad que evita que si un atacante captura tráfico, pueda posteriormente descifrarlo, limitando a los atacantes a descifrar en tiempo real y aumentando la complejidad de este ataque.
  • Cifrado fuerte opcional: Pensado para las redes empresariales que transmiten información sensible o que tienen dispositivos de IoT con información confidencial, es posible mejorar el nivel de cifrado de la red, mitigando cualquier intento de descifrar esta información.
  • Protección a Fuerza Bruta: Uno de los ataques comunes que se usan para encontrar la contraseña de conexión es llamado fuerza bruta, la cual se basa en probar diferentes contraseñas hasta encontrar la que es válida, pero con el nuevo protocolo este ataque se ve controlado, limitando no solo los ataques a la conexión sino también a los ataques sin conexión, haciendo mucho más complejo que se encuentre la contraseña por parte de los atacantes.

Estas nuevas características buscan que la nueva versión del protocolo sea rápidamente usada por empresas y hogares, mejorando la seguridad de las comunicaciones en Internet inalámbrico y no solo garantizando controles de acceso como muchos lugares ofrecen hoy en día a sus clientes.

Se espera que, con el lanzamiento oficial por parte de la alianza de Wifi, todos los fabricantes inicien los procesos de actualización de sus dispositivos y chips de conexión, en dispositivos convencionales y en los dispositivos de Internet de las Cosas.

Recuerde la seguridad en todo momento,  si es posible utilice una VPN para navegar de forma más segura. Al conectar su dispositivo móvil  a una red tome  en cuenta las medidas de seguridad. No olvide actualizar los antivirus de sus equipos portátiles. Piense en seguridad antes de pedir la contraseña de la red Wifi y acceder a ella desde una conexión pública o privada que no conoce.

 

 

 

 

 

 

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador ElevenPaths

@dsespitia

Publicado el

¿Cómo afecta un ransomware a su empresa?

El año pasado sin duda mostró la capacidad destructiva de las campañas de Ransomware que se están propagando por todo el mundo. Sin embargo, en muchas empresas aún no han calculado el riesgo asociado al verse afectados por una campaña de este tipo de software malicioso, ya sea porque consideran que no les pasará o porque aún no tienen claro el funcionamiento de este ataque cibernético.

 ¿Softwares maliciosos?

Iniciaremos explicando de forma básica y practica qué es el Ransomware. Este software malicioso una vez entra al equipo toma cada uno de los archivos del sistema y los cifra, obligando a que cada archivo requiera una clave de descifrado para acceder a la información. El resultado es que la víctima tiene toda su información en el sistema, pero no puede usarla al desconocer la clave de descifrado.

Ya sea usted un colaborador o un directivo de empresa es necesario que esté anuente a la existencia de los softwares maliciosos, precisamente porque es a través de una o varias personas que desconocen de su existencia y de  su impacto negativo, que estos tienen entrada a las empresas.  Desconocer nos hace blanco perfecto y víctimas sin siquiera imaginarlo. Al acceder a archivos y correos siempre es necesario estar alerta sobre todo con remitentes desconocidos. Tal cual se le da mantenimiento a un auto, es necesario estar anuentes a realizar y en muchos casos solicitar, las actualizaciones de seguridad a sus programas por parte de los encargados. Tenga presente que protegiendo su equipo de trabajo se protege usted y protege a la empresa para la que labora.

Esta amenaza no es nueva, en 1990 usando una conferencia sobre el VIH – SIDA, se solicitó rescate por la información de equipos de personas que tras asistir a esta conferencia recibieron unos diskettes con lo que se suponía eran las memorias del evento, pero realmente contenía un software que cifraba toda la información del sistema y pedía un rescate en efectivo en unas cuentas en paraísos fiscales. Sin embargo, el término Ransomware no tiene más de 4 años y se empezó a denominar así porque en todos los secuestros, el victimario solicita un monto económico por retornar sano y salvo a la persona secuestrada.

En la actualidad, los criminales cibernéticos han combinado varias técnicas de software malicioso para hacer que los usuarios reciban el software de cifrado y puedan pedir un rescate, usualmente solicitado en criptodivisas por el anonimato que estas tienen sobre el real receptor de una transacción económica.

Ahora bien, ya teniendo un poco más clara la amenaza generada por este software malicioso, podemos entender con varios ejemplos la forma en que puede llegar a afectar a una empresa, sin importar su tamaño o el tipo de industria al que pertenezca. Cualquiera puede ser objetivo directo de un ataque con Ransomware o caer en una de las campañas mundiales que se orquestan por delincuentes para recolectar fondos de sus víctimas.

Vamos a entender el impacto que se puede ocasionar en los ámbitos financiero y reputacional de una empresa a través de ejemplos de la vida real, que hemos podido conocer por trabajar directamente en seguridad de la información y en una unidad dedicada a mitigar las amenazas de ciberseguridad como lo es https://www.elevenpaths.com/.

Contabilidad cifrada

Este ejemplo es un ataque dirigido a una empresa de contabilidad, la cual era la responsable de llevar los procesos de impuestos y declaraciones tributarias a más de 150 empresas pequeñas y medianas de un país, para lo cual tenía tres servidores en sus instalaciones y un equipo de dos personas encargadas del mantenimiento y gestión de sistemas.

A uno de los encargados le llega un correo de la entidad oficial de impuestos de la nación, informando la necesidad de instalar un parche en el software de recaudo, por lo que planean la instalación de este parche en el sistema. Una vez es instalado toda la base contable de sus 150 clientes ha quedado cifrada y se solicitaron 7BTC para entregar la clave de descifrado.

La promesa de valor de la empresa no se puede cumplir por no tener acceso a la información que almacenaban en sus equipos, adicionalmente sus clientes se ven amenazados en incumplir sus deberes tributarios y por ende ser sancionados, debido a que su proveedor de este servicio incumplió.

El resultado de este incidente fue el cierre definitivo de la empresa contable y el pago de múltiples multas a sus clientes por los daños generados en el manejo de su información tributaria.

Factura de Servicio Eléctrico

Este ejemplo es de una campaña de engaño en un país donde los delincuentes suplantan una de las empresas de servicio público de electricidad enviando correos a miles de personas con una factura de cobro por cerca de 800USD.

Uno de esos correos llega a la jefe de servicio al cliente de una empresa de renta de vehículos, la cual tiene en su computadora la sesión por la que los agentes de servicio se conectan al servidor de facturación y al servidor que maneja la disponibilidad de los vehículos para rentar. Al ver el correo la jefe se intimida y abre el adjunto que dice ser la factura, el cual muestra una ventana para ejecutarse, aunque es un archivo PDF que no requiere ese tipo de ventanas. La jefe intimidada le da ejecutar y todos los archivos de sistema empiezan a cifrarse, dejando afuera del sistema a todos los agentes de servicio al cliente. Ninguno de los agentes en 12 puntos en el país puede facturar los servicios que actualmente están activos y no pueden acceder ni tener la disponibilidad de los vehículos para los clientes que llegan.

El respaldo de la máquina de la jefe tarda 2 horas en entrar en operación, generando inconvenientes de facturación y perdiendo los clientes durante ese periodo en uno de los fines de semana de mayor movimiento del mes.

Conclusiones

Así como sucedió en estos dos casos que hemos presentado, sucede en miles de empresas alrededor del mundo, en unas con mayor impacto que en otras, pero siempre generando inconvenientes en la operación normal de las labores.

Para tomar medidas adecuadas a tiempo es necesario que las organizaciones conozcan a qué se enfrentan y midan cuál es el posible impacto en su funcionamiento en caso de verse afectado por un software malicioso que cifre la información, calculando que sucede si afecta algo de cara a sus clientes o su es solo afectación interna.

Para contrarrestar el impacto las empresas deben implementar medidas de protección avanzadas en todas sus terminales y generar el conocimiento entre sus empleados con capacitación e información permanente sobre cómo actuar con precaución para evitar caer en engaños, que son el medio más usado para propagar el Ransomware. Todo lo mencionado con anterioridad es importante pero la principal medida de protección que deben tener es realizar un respaldo de su información, verificando que pueda ser recuperada y que contenga todo lo necesario para recuperar el funcionamiento del servicio.

Si una empresa se ve afectada por este ataque, no es recomendable pagar el rescate solicitado por los delincuentes, ya que en su mayoría jamás entregan la llave de descifrado. Para poder recuperar la información es necesario validar que tipo de software fue usado y buscar en https://www.nomoreransom.org si ya se hizo pública la llave de descifrado.

 

 

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador

ElevenPaths – Telefónica Cyber Security Unit  @dsespitia

Publicado el

Hackers éticos ¿Quiénes son y qué hacen?

¿Ellos pueden ser éticos?  ¿Hackers éticos? Fueron las preguntas obligadas durante un conversatorio sobre transformación digital en el que participé hace un par de semanas. Los ejecutivos presentes dudaban de la veracidad del título y más aún de los salarios que se les pagan.  Este escenario fue propicio para que me interesase en escribir acerca de los hackers que están del lado de las corporaciones, más aún cuando comparto virtualmente con algunos de ellos, casi a diario.

Iniciamos este artículo contándoles que hay universidades referentes en Europa que tienen maestrías online con doble titulación en temas de Ciberseguridad, como es el caso de la Universidad Rey Juan Carlos de Madrid que promueve la Maestría online en Seguridad de la Información y Continuidad de Negocio (Ciberseguridad).  Investigando al respecto llegué a conocer que van más allá de la maestría, tienen un doctorado en estos menesteres. Lo que nos hace pensar que es un tema muy amplio e importante que estudiar con miras en la competitividad y estar a la vanguardia en el mundo de la digitalización.  Pero este es solo uno de los hallazgos con los que me encontré mientras investigaba.

¿Qué se aprende en una maestría de Ciberseguridad?

Se aprende a garantizar la seguridad informática, los participantes adquieren los conocimientos necesarios para combatir el hacking no ético. Los estudiantes se forman en el dominio de herramientas de seguridad digital, estándares internacionales de ciberseguridad, y aquí es dónde deseábamos llegar: Ponen en práctica procesos de seguridad y hacking ético, familiarizándose con la normativa actual y los planes operacionales establecidos.

¿Son bien pagados estos perfiles profesionales?

Todo apunta a asegurar que están muy bien valorados. Existe un informe de Deloitte que ubica a los hackers éticos como el perfil mejor pagado en el sector de las tecnologías de la información con unos salarios que oscilan entre $ 75.000 y $ 115.000 al año. El mismo informe asegura que para 2020 las compañías brindarán 9,3% más de vacantes vinculadas a perfiles digitales.

Se dice que para los próximos años se requerirán entre 1 y 1.5 millones de especialistas en Ciberseguridad a nivel mundial. Es así uno de los ámbitos tecnológicos de mayor proyección internacional y con mayores perspectivas de empleo.

¿De qué lado de la fuerza están?

Las empresas de tecnología y telecomunicaciones hacen uso de los conocimientos y la experticia de estos talentosos profesionales que miran lo que el resto pasamos por alto.

No se imaginarían las múltiples áreas donde un hacker ético puede colaborar en nuestra sociedad y el espectro se amplía en la medida que migramos hacia ciudades inteligentes.  Leyendo he encontrado casos donde centros educativos que ofrecen plataformas online han sido alertados por hackers éticos sobre las debilidades existentes en sus plataformas de estudio, lo que ha ayudado a salvaguardar la reputación (activo invaluable) y evitado que personas puedan obtener títulos de forma inescrupulosa por una plataforma poco segura.

Otros han sido noticia como en un artículo que del periódico El País que se titulaba ‘Hackers’ éticos al servicio de la ley en Holanda, explicaba la nota acerca del “Proyecto Yoda”, enfocado en la reinserción hackers menores de edad a la sociedad productiva. Los que antes fueran delincuentes cibernéticos se les ubicaba en trabajos en empresas tecnológicas, obligándoles a aprovechar su habilidad informática con fines legales. Propiciando lo que ellos llamaron una especie de salteadores éticos de Internet al servicio de la policía. Este fue el caso de dos jóvenes hackers, uno atacó el sistema de su propia escuela durante exámenes, causando caos, el otro robó correos electrónicos. La policía resolvió ambos casos delictivos y los chicos tuvieron como condena elaborar un plan de seguridad para la entidad, afrontar las consecuencias de sus actos y resolverlos. En su labor social y fuera de la escuela se les supervisa y educa para que logren encontrar un futuro como hackers éticos, en un contexto legítimo.

Por otro lado, vemos a empresas como Google que hace un par de años contrató a George Hotz, un joven hacker reconocido por desbloquear el primer teléfono iPhone.  Para los curiosos y lectores ávidos de temas de ciberseguridad los nombre de los pioneros descubriendo vulnerabilidades en empresas como Google, Facebook Mozilla, PayPal, Vine y Microsoft los llevará directamente a Reginaldo Silva Neel Metha, Sanmay Ved, Pinkie Pie, Jordan Wiens,, James Forshaw o Alex Miller. Y por supuesto que al Chairman de ElevenPaths, la Unidad de Ciberseguridad de Telefónica: Chema Alonso, Ingeniero de Sistemas de TI por la Universidad Politécnica de Madrid y Doctor en Seguridad informática por precisamente la Universidad Rey Juan Carlos de Madrid que mencionamos al inicio. Mediático y reconocido, no deja de ser noticia en los medios digitales e impresos.

Un ‘hacker’: un experto en ciberseguridad

Al leer el blog “El otro lado del mal”, podemos estudiar con mayor detenimiento la personalidad de un experto en ciberseguridad disruptivo. Un blogger y chairman que se ha convertido en el hacker más conocido de España y una de las figuras más reconocidas del mundo tecnológico, brindando consejos y su visión sobre los temas de avanzada en telecomunicaciones. Tiene muchísimos seguidores con los que interactúa a través de sus redes sociales, haciendo de su pasión un campo deseable para las nuevas generaciones. Siempre alega que “un hacker es un experto en ciberseguridad que no tiene nada que ver con los delitos en la red.” Enfatizando así en la ventaja de contar con especialistas que cuiden y mantengan las redes de sus organizaciones lo más seguras posible.

Informe sobre hacking

Es tan importante la actividad que HackerOne, una comunidad de ciberseguridad impulsada por hackers desarrolló el Informe Hacker 2018 donde se encuestaron a 1.698 encuestados. La comunidad tiene más de 166.000 hackers registrados en total, más de 72.000 vulnerabilidades válidas han sido enviadas, y la plataforma ha pagado más de 23,5 millones de dólares en recompensas. Cifras que hacen meditar en su impacto en esta era.

El resumen ejecutivo del Informe 2018 Hacker concluye que «Internet se vuelve más seguro cada vez que se encuentra y repara una vulnerabilidad». Esto es lo que hacen los hackers éticos e investigadores de seguridad, encuentran problemas potenciales y los denuncian a las organizaciones afectadas para que se eliminen los problemas antes de que puedan ser explotados por cibercriminales.

Hallazgos del Informe Hacker 2018

  • Más del 35% de los participantes consideran que hackear vulnerabilidades es un pasatiempo. De los encuestados, el 12% tiene un ingreso anual de bonificaciones de errores de 20.000 dólares o más, con un 3% que dice ganar más de 100.000 dólares por año y un 1% que gana más de 350.000 al año.
  • India (23%) y los EE. UU. (20%) son los dos países principales representados en el grupo de encuesta.
  • Más de la mitad de los encuestados estudió ciencias de la computación a nivel de pregrado o posgrado, con 26% estudiando informática en la escuela secundaria.
  • Casi todos los miembros de la comunidad HackerOne son menores de 35 años, con una mayoría (45%) entre 18 y 24 años.

Y aunque no todas las empresas aceptan la piratería ética, a pesar de que es cada vez más aceptada por las empresas, aún existen importantes obstáculos y oportunidades para su profesionalización.  «El noventa y cuatro por ciento de las empresas del Forbes Global 2000 no tiene una política de divulgación de vulnerabilidad publicada» y «El 72% de los hackers encuestados informaron que las empresas están cada vez más abiertas a recibir vulnerabilidades».

 ¿Quiénes son los hackers éticos?

Hombres y mujeres que estudian muchísimo, dedicándose a comprender lo que puede ser una amenaza para las empresas donde trabajan.  Interesante es resaltar que dos de los hackers más conocidos del mundo forman parte de ElevenPaths de Telefónica, tanto el Dr. Chema Alonso como a Yaiza Rubio. Licenciada en Ciencias de la Información y con tres masters (Análisis de Inteligencia, Logística y Economía de la Defensa, y Derecho Tecnológico y de las TIC), se ha convertido en una #mujerhacker referente en el mundo de la ciberseguridad.

Yaiza es la primera mujer hacker española  que  participó en las dos de las conferencias más importantes de ciberseguridad: DefCON & BlackHat en Las Vegas el pasado julio del 2017. La joven profesional se ha convertido en un referente para las futuras generaciones de chicas que aspiran a convertir la tecnología como su forma de vida.

Con mucho orgullo en este mes que dedicamos a la Ciberseguridad y a resaltar el aporte de las mujeres en las telecomunicaciones les invitamos a disfrutar un video excepcional. Mostrando que las carreras no tienen género, tras la seguridad de su empresa posiblemente esté una chica que domina la  ciberseguridad.

Esos son los hackers éticos, personas a cargo de la seguridad de su mayor activo,. Hombres y mujeres que cuidan lo que otros damos por sentado, cada vez que hacemos clic en un dispositivo móvil o accedemos al sistema informático de nuestras organizaciones.

Vale la pena promoverlos y darlos a conocer. Le animamos a compartir en sus redes esta nota.

Publicado el

Pasos que debe tomar una empresa para evitar un ciberataque

Wow, cuando me ponía a escribir este post iba pensando si habría alguna forma de prevenir o evitar efectivamente los ciberataques, entendiendo que tenemos que conectarnos con el resto del mundo, es decir, conectar nuestros sistemas, aplicaciones, usuarios, proveedores, clientes con todo el mundo.  Bien, la realidad es que no vamos a poder prevenir todo, por lo que sería mejor hablar acerca de ¿Cómo disminuir la posibilidad de un ciberataque?

En el post anterior he introducido el concepto de la ciber-resiliencia.  Y aquí se ve muy claro.  Tenemos que estar listos, preparados, atentos a que en cualquier momento algún ciberataque se podría materializar.  Estar preparados no significa sólo desde el punto de vista técnico, sino también como empresa, como organización, cómo vamos a responder, qué le vamos a decir a nuestros clientes, como vamos a seguir transmitiendo confianza luego de un evento así.

Cuando comenzamos a pensar acerca de qué cosas podríamos hacer como empresa para disminuir la posibilidad de un ciberataque, se nos vienen a la cabeza, a nuestros pensamientos, infinidad de casos que suceden todos los días, algunos más resonados que otros.

La capacidad de una empresa para disminuir la posibilidad de un ciberataque está directamente relacionada con el nivel de permeabilidad y fluidez de los conceptos de ciberseguridad en la misma.

Alguien podría preguntarme ¿A qué se refiere con esto? ¿Podría explicarnos un poco más? Bien, sencillamente me refiero a ver qué nivel de madurez en conocimientos y divulgación interna hay sobre los temas de ciberseguridad.

Como sabemos en muchas organizaciones debido a su diseño top-down, es crítico que desde los niveles más elevados de la misma (accionistas, directores, gerentes, etc.) se hable todos los días de temas de ciberseguridad y se demuestre mediante acciones el compromiso que existe para mantener los datos protegidos y resguardados.  De esta forma los conceptos y la necesidad de proteger los datos se comenzaría a diseminar por toda la empresa, sin excepción. Pero, realmente, en cuántas empresas sucede esto.  Ahí tiene la respuesta, a eso me refiero con el nivel de permeabilidad y fluidez de los conceptos de ciberseguridad.

 ¿Sucede en su empresa? ¿Sucede en nuestras empresas, gobiernos y organizaciones? La respuesta está ligada a su estrategia de ciberseguridad y la ciber-resiliencia de su organización. Cada vez más necesarias e impostergables.

Algunos empresarios y ejecutivos se refieren a parte de esto cómo tener una política de seguridad y concientizar a los empleados.  Ambas son en realidad sólo algunas actividades que debemos hacer para llegar al concepto sobre el que escribo.

 ¿Desea marcar un punto de partida para disminuir efectivamente un ciberataque?  Aquí están los primeros pasos, simples y complejos al mismo tiempo.

Cuando hablamos acerca de cómo prevenir un ciberataque, realmente se juntan tres variables, planteándose de una forma simple.  Una variable intrínseca a la empresa, y una variable extrínseca a la misma.  La variable extrínseca es aquella sobre la que la empresa no tiene control, es decir sobre las ciberamenazas.  La empresa no puede impedir que la ciberamenaza esté constantemente intentando, intentando e intentando.  Desde el punto de vista técnico sería como ver todos los días en los logs de nuestros dispositivos de seguridad diferentes intentos de accesos no autorizados.

La variable intrínseca está determinada por todo lo que la empresa sí puede hacer, por todo aquello que está bajo su dominio.  Por ejemplo, lo que conversábamos más atrás, acerca de las actividades mínimas para dispersar el conocimiento, la importancia y la necesidad de la ciberseguridad.

Los datos más sensibles o críticos que posee una empresa, sí es cierto que están almacenados en algún repositorio con ciertos niveles de protección. ¡Lo sabemos! nadie los deja totalmente desprotegidos, al menos en forma adrede.  Pero en realidad estos datos están fluyendo constantemente por toda la empresa y fuera de ella también.  Fluyen, van cambiando de forma, a veces en formato digital cuando se reenvía por correos electrónicos, cuando se copia a un USB, otras veces se cambia a otro formato, por ejemplo, cuando se imprimen documentos, o cuando mientras algunas personas almuerzan en lugares públicos conversan a cerca de proyectos, visiones futuras, etc.  Es decir, son los mismos datos, sólo que en otros medios diferentes. Por lo cual en estos primeros puntos comienza todo.

Ahora nos faltaría la tercera variable, la cual se refiere al valor de los datos de la empresa.  Es decir, qué impacto le generaría a la empresa que un ciberataque se concretara sobre esos datos.  ¿Qué sucedería si los datos sensibles son divulgados en forma no autorizada? Por ejemplo, en algún foro en Internet, y a partir de aquí salimos expuestos en alguna noticia, se enteran nuestros Clientes, socios, etc.  A este impacto es lo que llamo el valor de los datos.

Vemos entonces que los primeros pasos, y por ser los primeros no quiero decir que son los más simples ni los más rápidos de conseguir son:

1. Divulgar por toda la empresa la importancia de la ciberseguridad, desde los accionistas, socios, alta dirección, comprometiéndose a proteger en forma adecuada los datos.

2. Entender cuáles son los datos más importantes, ese impacto que recién les comentaba, y dónde están.

Aquí comienza todo, este sería como el punto de partida. Por supuesto, estos pasos no son los únicos.

Quisiera detenerme y dedicar unas líneas a la identificación de los datos sensibles o críticos.  Dentro de la jerga de seguridad de la información a esto lo llamamos clasificación de información o de activos.  Entonces algunas empresas comienzan clasificando sus activos, es decir, analizando cuáles son los más sensibles o críticos, dándoles un valor.  Primero es que las empresas que hacen este tipo de actividades son pocas, realmente pocas.  Dentro de las que clasifican la información, muy pocas aún identificación la ubicación de los datos y menos aún el flujo, por dónde circulan.

Es decir, la clasificación de la información la realizan más que nada por la naturaleza de los datos.  Ponen en una planilla o en otro tipo de documento, por ejemplo, los datos de los clientes son sensibles.  Pero se olvidan de que los riesgos a los cuales están expuestos estos datos no son determinados por su naturaleza, sino por el ambiente donde están en un momento exacto o por las actividades que son ejecutados sobre ellos en un momento exacto.  Lo explico de otra forma, si sabemos que ciertos datos son muy importantes para la empresa porque si por ejemplo son divulgados de forma no autorizada, realmente podríamos perder muchos clientes, nos caerían multas importantes, tendríamos un impacto muy fuerte en nuestra imagen y reputación, entonces tendríamos que saber dónde están esos datos, por dónde circulan y en qué circunstancias. Como veíamos al principio, los datos van cambiando de forma, pero en su esencia continúan siendo los mismos.  Por ponerlo simple, una contraseña es la misma contraseña si está escrita en un papel, si es enviada por correo electrónico, si se pasa por teléfono, por poner todas actividades de riesgo ¡que no deberíamos hacer nunca!  Sólo un ejemplo para comprender mejor este punto.

Entonces el tercer paso sería:

3.  Clasificar e identificar los datos más importantes para poder proteger aquellos que son realmente los más importantes para la empresa identificando también los requerimientos regulatorios y contractuales que los alcanzan.

A partir de acá comienzan entonces los la definición e implementación de controles de ciberseguridad.  Si bien todo lo que comenté anteriormente también son controles de seguridad, aquí comenzaríamos la definición e implementación de otros controles:

Implementación de controles en nuestros sistemas informáticos y redes de comunicaciones

Evaluación periódica de la seguridad de nuestros sistemas, aplicaciones y redes.  Aquí cuando decimos periódico, tal vez quedaría mejor continuo.  Ya no damos cuenta que no alcanza hacer una evaluación de seguridad una vez al año, porque está muy claro que los riesgos varían día a día, ya que cambian las ciberamenazas, se incorporan nuevas técnicas, y también nuestro entorno tecnológico cambia: implementamos nuevas configuraciones, nuevos componentes, ponemos en producción nuevas funcionalidades.

Incluir la ciberseguridad en todo el ciclo de vida de nuestras aplicaciones y sistemas.  Desde el momento que nacen estos proyectos ya tenemos que pensar en la ciberseguridad y los requerimientos de protección.

Luego tendríamos otros controles, los cuales no voy a enumerar todos en este post, pero seguramente en otro estaremos conversando acerca de éstos.

 ¡Nos vemos en el próximo post!

Fabián Chiera

Chief Security Ambassador

ElevenPaths

[email protected]

www.elevenpaths.com

@fabianchiera